加入收藏 | 设为首页 | 会员中心 | 我要投稿 源码门户网 (https://www.92codes.com/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 服务器 > 搭建环境 > Windows > 正文

记一次Linux木马清除过程

发布时间:2019-08-27 19:45:19 所属栏目:Windows 来源:xyl870612
导读:副标题#e# 前段时间公司发生了一起服务器入侵事件,在此分享给大家也顺便理顺下linux入侵应急响应思路。 一、事件描述 某天监控同事反馈有台机器cpu飙高到2000%,可能机器已经被黑。于是登录上去查看,果然有个进程名为HT8sUy71的进程在作祟,这一看名字就

c.查找sudo权限账户

  1. cat /etc/sudoers | grep -v "^#|^$" | grep "ALL=(ALL)" 

2.2 查看是否有账号异常登录情况:

a.查看当前登录用户和其行为

b.查看所有用户最后一次登录的时间

  1. lastlog 

c.查看所有用户的登录注销信息及系统的启动、重启及关机事件 

  1. last 

d.查看登录成功的日期、用户名及ip

  1. grep "Accepted " /var/log/secure* | awk '{print $1,$2,$3,$9,$11}' 

e.查看试图爆破主机的ip

  1. grep refused /var/log/secure* | awk {'print $9'} | sort | uniq -c |sort -nr | more  
  2. grep "Failed password" /var/log/secure* | grep -E -o "(([0-9]{1,3}).([0-9]{1,3}).([0-9]{1,3}).([0-9]{1,3}))" | uniq -c  

f.查看有哪些ip在爆破主机的root账号   

  1. grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort 

g.查看爆破用户名字典     

  1. grep "Failed password" /var/log/secure | awk {'print $9'} | sort | uniq -c | sort -nr 

3、查找异常文件        

3.1 查找cron文件中是否存在恶意脚本      

  1. /var/spool/cron/*  
  2. /etc/crontab   
  3. /etc/cron.d/*   
  4. /etc/cron.daily/*   
  5. /etc/cron.hourly/*   
  6. /etc/cron.monthly/*   
  7. /etc/cron.weekly/   
  8. /etc/anacrontab       
  9. /var/spool/anacron/* 

3.2 查看最近一段时间内被修改的系统文件     

  1. find /etc/ /usr/bin/ /usr/sbin/ /bin/ /usr/local/bin/  -type f -mtime -T | xargs ls -la 

3.3 按时间排序,确认最近是否有命令被替换,可以结合rpm -Va命令

  1. ls -alt /usr/bin /usr/sbin /bin /usr/local/bin  
  2. rpm -Va>rpm.log 

3.4 确认是否有异常开机启动项       

  1. cat /etc/rc.local  
  2. chkconfig --list 

4.借助工具查杀病毒和rootkit

(编辑:源码门户网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!